Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware PowerModul Implantat

PowerModul Implantat

Von Mezo in Malware, Hintertür-Viren
Übersetzen Sie in:
Deutsch

Der als Paper Werewolf – auch GOFFEE genannt – bekannte Bedrohungsakteur zielte ausschließlich auf russische Organisationen ab und nutzte dabei ein neues Implantat namens PowerModul. Zwischen Juli und Dezember 2024 konzentrierten sich seine Angriffe auf Schlüsselindustrien wie Massenmedien, Telekommunikation, Bauwesen, staatliche Einrichtungen und den Energiesektor.

Ein hartnäckiger Gegner: Kampagnen seit 2022

Der Paper Werewolf hat seit 2022 mindestens sieben Kampagnen durchgeführt. Der Fokus der Gruppe lag dabei stets auf hochwertigen Zielen in den Bereichen Regierung, Energie, Finanzen und Medien.

Mehr als Spionage: Zerstörerische Wendungen in Angriffsketten

Die Aktivitäten von Paper Werewolf gehen über traditionelle Cyberspionage hinaus. Ihre Angriffsketten enthalten nachweislich disruptive Elemente, wie beispielsweise das Ändern von Passwörtern für Mitarbeiterkonten. Dies deutet auf die Absicht hin, den Betrieb zu beeinträchtigen und nicht nur Daten zu stehlen.

Einstiegspunkt: Phishing-Köder und PowerRAT

Die Angriffe beginnen typischerweise mit Phishing-E-Mails, die Dokumente mit Makros enthalten. Sobald das Opfer auf die Datei zugreift und Makros aktiviert, wird ein PowerShell-basierter Remote-Access-Trojaner namens PowerRAT eingesetzt. Diese Malware ermöglicht komplexere Schadsoftware.

Benutzerdefiniertes Malware-Arsenal: PowerTaskel, QwakMyAgent und Owowa

Zu den Payloads der nächsten Stufe gehören häufig PowerTaskel und QwakMyAgent, benutzerdefinierte Versionen von Agenten, die auf dem Mythic-Framework basieren. Ein weiteres Tool, Owowa, ein bösartiges IIS-Modul, dient zum Diebstahl von Microsoft Outlook-Anmeldeinformationen, die über Webclients eingegeben wurden.

Neue Infektionstaktik: Getarnte ausführbare Dateien in RAR-Archiven

Die jüngste Angriffswelle besteht aus einem bösartigen RAR-Archiv, das eine ausführbare Datei enthält, die als PDF- oder Word-Dokument mit doppelten Erweiterungen (z. B. *.pdf.exe) getarnt ist. Bei der Ausführung wird dem Benutzer ein Täuschungsdokument angezeigt, während das System im Hintergrund unbemerkt infiziert wird.

Bei der ausführbaren Datei handelt es sich tatsächlich um eine gepatchte Windows-Systemdatei (wie explorer.exe), in die schädlicher Shellcode eingebettet ist, der einen verschleierten Mythic-Agenten enthält, der sich für weitere Anweisungen mit dem C2-Server verbindet.

Alternativer Angriffsweg: PowerModul steht im Mittelpunkt

Alternativ verwendet Paper Werewolf ein RAR-Archiv mit einem mit Makros versehenen Office-Dokument, das als Dropper für PowerModul fungiert. Dieses PowerShell-Skript kann zusätzliche Skripte vom C2-Server ausführen und ist somit eine vielseitige Hintertür.

Payload Parade: Ein Toolkit für Spionage und Infektion

PowerModul wird seit Anfang 2024 hauptsächlich zum Herunterladen und Ausführen von PowerTaskel verwendet. Weitere wichtige Nutzlasten sind:

  • FlashFileGrabber : Stiehlt Dateien von Flash-Laufwerken und exfiltriert sie.
  • FlashFileGrabberOffline : Sucht auf Flash-Medien nach Dateien mit bestimmten Erweiterungen und speichert sie lokal zur späteren Exfiltration.
  • USB-Wurm : Infiziert Flash-Laufwerke mit einer Kopie von PowerModul, um die Schadsoftware weiter zu verbreiten.

Die Fähigkeiten von PowerTaskel: Mehr als nur Skriptausführung

PowerTaskel ähnelt zwar PowerModul, bietet aber mehr Leistung. Es sendet eine Check-in-Nachricht mit Systeminformationen, führt Befehle vom C2-Server aus und kann Berechtigungen mithilfe von PsExec erhöhen. In einem Fall wurde beobachtet, wie es ein FolderFileGrabber-Skript ausführte, das Dateien von Remote-Systemen über fest codierte SMB-Netzwerkpfade sammelte.

Entwicklung der Taktik: Abkehr von PowerTaskel

Paper Werewolf nutzte erstmals gefälschte Word-Dokumente mit VBA-Skripten für den Erstzugriff. Jüngste Erkenntnisse deuten zudem auf einen taktischen Wandel hin: Die Gruppe wendet sich von PowerTaskel ab und setzt zunehmend auf binäre Mythic-Agenten für die laterale Bewegung innerhalb der anvisierten Netzwerke.

Abschließende Gedanken: Eine wachsende Bedrohung durch sich entwickelnde Techniken

Paper Werewolf verfeinert seine Techniken kontinuierlich und erweitert sein Arsenal. Der ausschließliche Fokus auf russische Unternehmen, kombiniert mit disruptiven Fähigkeiten und einer sich entwickelnden Infektionsstrategie, macht die Bedrohung zu einer ernstzunehmenden und anhaltenden Cyberbedrohung.

Im Trend

Chase – Überweisung wird bearbeitet und abgezogen –...

Phishing, Spam
Das Internet bietet zahlreiche Möglichkeiten und Annehmlichkeiten, ist aber auch ein Nährboden für Cyber-Bedrohungen. Betrüger entwickeln ständig neue Methoden, um Nutzer zu täuschen, vertrauliche Daten zu stehlen und Bankkonten auszunutzen. Ein Beispiel hierfür ist der E-Mail-Betrug „Chase – Transfer wird verarbeitet und abgezogen“. Dieser Betrugsversuch zielt auf ahnungslose Opfer ab, indem...

Am häufigsten gesehen

Wird geladen...